Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'MacOS-malware is moeilijk in kaart te brengen door missende antivirusproducten'

Door , 88 reacties

Op de Hack in the Box-conferentie in Amsterdam sprak Tweakers met macOS-malware-expert Patrick Wardle van beveiligingsbedrijf Synack. Hij stelt dat er weinig geavanceerde macOS-malware gevonden wordt doordat de nodige antivirusproducten ontbreken.

macOS Sierra fpa"Op Windows zijn er een groot aantal fabrikanten actief, die naast signature-detectie ook detectie op basis van gedrag en heuristics gebruiken", stelt hij. "Daardoor, en doordat Windows meer gebruikers heeft, zijn er veel spannendere malwaresamples te vinden op Windows dan op macOS, waar fabrikanten die technieken niet toepassen. Dat systeem heeft in het verleden minder te maken gehad met malware en door het kleinere marktaandeel is het ook minder interessant voor fabrikanten en kwaadwillenden. Daardoor zijn alle samples voor mac-systemen een beetje lame."

Hij twijfelt er echter niet aan dat er wel degelijk geavanceerde macOS-malware bestaat: "Als die malware wordt gebruikt, dan maakt die waarschijnlijk gebruik van een aantal zero days." Wardle, die zich in het verleden op lekken in Windows-systemen richtte als medewerker van de NSA, merkt op dat Apple zich meer kan veroorloven dan Microsoft op het gebied van beveiliging van zijn besturingssysteem. "Apple kan meer ‘draconische’ beveiligingsmaatregelen nemen, omdat het in de positie is om tegen ontwikkelaars te zeggen dat zij hun producten moeten aanpassen of anders maar een ander platform moeten zoeken. In het geval van Microsoft is dat niet zo simpel."

Wardle denkt echter niet dat Apple een verantwoordelijkheid heeft om voor aanvullende bescherming op zijn systeem te zorgen boven op zijn huidige bescherming: "Hoe het huidige systeem met Gatekeeper en Xprotect in elkaar steekt is eigenlijk vrij solide." In de toekomst ziet hij wel de mogelijkheid voor meer malware die zich op macOS-systemen richt. "MacOS is in feite een groot ongebruikt gebied voor hackers, waar nog veel te halen valt. Ik voorzie bijvoorbeeld dat populaire ransomware-varianten op den duur ook voor macs zullen uitkomen en dat meer oorspronkelijke Windows-malware wordt overgezet. Bovendien is het platform interessant voor gerichte aanvallen, bijvoorbeeld omdat de ceo van een groot bedrijf een Apple-laptop gebruikt."

Wardle verliet de NSA omdat daar volgens hem de 'bureaucratische uitdagingen groter dan de technische uitdagingen waren'. Na zijn vertrek richtte hij zich op het besturingssysteem van Apple, omdat hij iets anders wilde doen dan Windows en omdat het de reputatie had veilig te zijn. Sindsdien houdt hij zich onder andere bezig met het vinden van kwetsbaarheden. "Ik vind het liefst kwetsbaarheden die niet heel makkelijk te patchen zijn en die een fundamentele invloed op het besturingssysteem hebben", zegt hij daarover. Zo keek hij bijvoorbeeld naar de beschermingssoftware Gatekeeper en Xprotect, waarin hij verschillende kwetsbaarheden vond. Daarnaast schrijft hij zijn eigen gratis beveiligingsprogramma's voor macOS.

Wardle op Hack in the Box 2017, CC BY-ND 2.0, foto door HitB

Door Sander van Voorst

Nieuwsredacteur

14-04-2017 • 17:51

88 Linkedin Google+

Reacties (88)

Wijzig sortering
"Op de Hack in the Box-conferentie in Amsterdam sprak Tweakers met macOS-malware-expert Patrick Wardle van beveiligingsbedrijf Synack. Hij stelt dat er weinig geavanceerde macOS-malware gevonden wordt doordat de nodige antivirusproducten ontbreken."

Daar gaat het argument van vele Apple gebruikers, dat de macOS 'veiliger' zou zijn dan die van Windows. Als er geen evenwaardige controle is op beide systemen, dan vervalt dat argument.
Het wordt weinig GEVONDEN, maar dat is geen uitspraak over hoe vaak en hoe makkelijk het succesvol infecteren van MacOS is... Hij stelt immers dat GateKeeper e.d. prima hun werk doen en de boel erg dichtgetimmerd zit. (Neem SIP als voorbeeld) Dat er malware voor wordt gemaakt, dat is niets nieuws onder de zon. Alleen op grote schaal infecteren...? Dat zou wťl nieuw zijn. Patrick stelt louter dat er waarschijnlijk meer malware voor wordt geschreven dan gedacht, maar dat zegt dus niets over hoe (on)veilig het is.

Per saldo is MacOS dus wel degelijk veel veiliger by default, alleen de mythe dat het geen virussen kan krijgen is natuurlijk onzin. Maar dat wisten we al. :)

De tools van Patrick, en dan vooral BlockBlock, is trouwens absoluut aan te raden aan elke Mac gebruiker!
Als je de strikte definitie van wat een virus is aanhoudt dan is dat zeer zeker geen mythe want die teller staat nog steeds op 0. Wat ze daar echter dan weer niet vertellen is dat diezelfde teller voor Windows nou ook niet gek verder dan 0 komt. Het spul van vandaag de dag is al een forse stap verder dan wat we kennen als virus.

Overigens kan ik me niet vinden in wat de man in het artikel zegt. Je hebt fatsoenlijk onderzoek naar dit soort materie nodig, niet een of andere virusscanner. Het marktaandeel verhaal is ook al diverse malen onderuit gehaald. Als dat zo is dan zouden we heel wat meer virussen en malware moeten hebben voor Linux omdat heel veel belangrijke infrastructuur juist op dat systeem draaien en niet op Windows. Er is in de loop der tijd nou eenmaal veel meer kennis van Windows opgedaan waardoor het ook niet zo verwonderlijk is dat men zich dan ook daar op richt.

We hebben overigens ook bij de Mac App Store gezien wat er gebeurd als Apple ontwikkelaars voor macOS dingen gaat opleggen...men steekt de middelvinger in de lucht en haalt hun software uit die store. Sommigen richten zich gewoon op een ander platform.

Btw, is men hier ook op de hoogte van de discussie omtrent antivirus/antimalware software die momenteel gaande is mbt de veiligheid? Niet iedereen is het er namelijk over eens dat antivirus/antimalware software een systeem veiliger maken. De laatste tijd wordt deze software zelf namelijk aangevallen en via die weg het systeem weer besmet. Zeer aantrekkelijke route vanwege de rechten die de software binnen het systeem geniet.

[Reactie gewijzigd door ppl op 14 april 2017 20:27]

Vandaar dat ik spreek over malware. ;)

Je kan geen fatsoenlijk onderzoek doen als je niet alles dat in t wild rondgaat kan detecteren. Heuristics leveren verschrikkelijk veel informatie op aan Windows virussen dankzij scanners die denken iets verdachts te hebben, en t dan submitten voor onderzoek. Gezien mensen nauwelijks virusscanners gebruiken op MacOS valt dus een heel groot deel makkelijker door de mazen van het net dan bij Windows PC's; dat is dus geen rare opmerking of beredenering. :)

Je moet onderzoeksmateriaal hebben om het te doen, en dat is lastig als nauwelijks spul gesubmit wordt. En dat vind ik een terecht punt dat hij maakt.

-edit-
Ja ik ben daar van op de hoogte, beveiligingssoftware is een zeer logische attack vector en ik snap dat wel. Een random voorbeeld: iThemes Security plugin voor wordpress opende juist gaten. :') En die werden fijntjes geexploit.
Veel zorgen kan ik me er niet om maken, daar is redundantie voor. Als al je beveiliging faalt ben je alsnog de l*l, maar dat is een risico waar je sowieso bekend mee moet zijn.

[Reactie gewijzigd door WhatsappHack op 14 april 2017 20:41]

Je hebt het wel degelijk over virussen. Neem alleen al het feit dat je het over "infecteren" hebt.
Wordpress is geen MacOS native app, waarom haal je dat als voorbeeld erbij? Wat wil je daarmee zeggen?
Je hebt het wel degelijk over virussen. Neem alleen al het feit dat je het over "infecteren" hebt.
Ik geloof dat je in de overtuiging verkeert dat er enkel iets is als een "virusinfectie"? Dat is niet zo. Een malware-infectie is een normale term.

Sterker nog, een virus is een vorm van malware; dus ook bij een virus mag je spreken over een malware-infectie. Het virus gedeelte specificeert louter het type malware.

Hier een (gelimiteerde) infographic om wat duidelijkeid te creŽeren:
http://www.ipvsecurity.com/eng/images/gallery/Malware.gif
Wordpress is geen MacOS native app, waarom haal je dat als voorbeeld erbij? Wat wil je daarmee zeggen?
Niet lullig bedoeld, maar het is waarschijnlijk handiger als je eerst de boel leest en dan pas vragen stelt :)
We hadden het over beveiligingssoftware in t algemeen die wel eens gaten opent, niet specifiek over beveiligingssoftware voor MacOS die dat fenomeen tonen.

En in die context is een beveiligingsplugin voor Wordpress een volkomen legitiem voorbeeld.

[Reactie gewijzigd door WhatsappHack op 16 april 2017 04:11]

"Op Windows zijn er een groot aantal fabrikanten actief, die naast signature-detectie ook detectie op basis van gedrag en heuristics gebruiken", stelt hij. "Daardoor, en doordat Windows meer gebruikers heeft, zijn er veel spannendere malwaresamples te vinden op Windows dan op macOS, waar fabrikanten die technieken niet toepassen.
Zo keek hij bijvoorbeeld naar de beschermingssoftware Gatekeeper en Xprotect, waarin hij verschillende kwetsbaarheden vond. Daarnaast schrijft hij zijn eigen gratis beveiligingsprogramma's voor macOS.
Je zei het zelf, het zegt dat er weinig gevonden wordt en dat dat geen uitspraak is over hoe vaak en hoe makkelijk het succesvol infecteren van MacOS is. Hij stelt namelijk dat hij zelf al vulnerabilities gevonden heeft en extra beveiligingsprogramma te schrijven. Misschien was het zelfs gratis om zoveel mogelijk gebruikers de veiligheid te beloven die Apple hun niet geeft (naast de veiligheid die Apple hun wel geeft uiteraard). Dus het kan net zo goed zijn dat MacOS veel makkelijker te infecteren valt dan de mensen vermoeden. (kans lijkt mij klein door het lage aantal gebruikers)
Zijn tools patchen niet perse lekken in OSX, maar geven een extra laag veiligheid; de user krijgt nťt iets meer input over anders geautomatiseerde taken. Veel false positives, maar als je BlockBlock bijvoorbeeld bekijkt is dat logisch en een doel van de software, omdat het alles dat spullen probeert te installeren tegenhoudt tot je toestemming geeft. Dat kan irritant zijn zeker omdat er vaak niets aan de hand is en t iets is dat je zelf installeert, dus je UE gaat er op achteruit, maar t is fijn om optioneel te hebben voor t geval er opeens wel zomaar iets geÔnstalleerd wordt. Dat heb je direct door, en BlockBlock houdt t tegen tot je approval geeft. Heerlijk :) Geeft een prettig gevoel. Apple biedt standaard al goede veiligheid, met een balans op UE. BlockBlock heft in principe die balans op in de richting van verslechterde UE, maar verhoogde veiligheid. Ik ben daar persoonlijk wel fan van, liever iets slechtere UE met extra veiligheid dan andersom; maar de meeste mensen willen de hoogst mogelijke gebruiksvriendelijkheid. Het is dus niet echt een kwestie dat macOS niet voldoende veiligheid biedt, maar dat er ten dele een compromis wordt opgeheven. Keuzes, maar iets zeggen over de veiligheid van macOS en de sterkte van Apple's eigen defense mechanisms doet t niet perse. :)
Althans, dat vind ik hoor - daar kan je t natuurlijk mee oneens zijn.

En KnockKnock doet niet veel meer dan allerlei zaken als kernel extensies tonen, en running apps door een virusscan heenhalen. Prima als extra layer beveiliging, maar niet perse een patch op een lek of iets essentieels dat ontbreekt; vooral omdat 9 van de 10 mensen de output waarschijnlijk niet eens snappen. Alle tools zijn wel voor gevorderde systeembeheerders ontworpen.

Het is heerlijke software om te hebben als extra laag beveiliging, maar het gaat denk ik te ver om te zeggen dat het een gat dicht of waar Apple op geen enkele wijze zelf rekening mee heeft gehouden. Het is dus maar hoe je t bekijkt. Ik raad iedereen die software aan, doch wel met de kanttekening: als je de output snapt en kan herkennen wanneer t een dreiging of een false positive is.
MacOS probeert zelf ook nog wel eens updates te installeren, ook dat merk je - maar dat is geen dreiging. Alleen hoe je dat verschil aan mensen uitlegt is wat moeilijk.
Ik zou niet te veel op de code van deze heer Wardie vertrouwen. Waarom ? Omdat hij zijn code (op die voor LockDown na) niet vrijgeeft. Programmatuur van derden die je kent noch kan kennen is troebel water en voor beveiligingsprogrammatuur geldt dat des te meer !

Bovendien als de extra beveiligingsprogramma's onder MS Windows ons iets hebben geleerd is dat deze vaak weinig toevoegen en daarentegen soms juist ronduit kwetsbaarheden introduceren. Was de code van die programma's OSS geweest dan had dat veel anti-features (en stroom) bespaard. Drie maanden gratis en daarna zeuren, schandelijke praktijken.
En jij doet een volledige audit van de broncode van elk opensource pakket dat je installeert?
Neen, natuurlijk niet. Maar in het algemeen geldt in zaken van informatiebeveiliging dat black-box als risico wordt gezien, en terecht. Open broncode maakt het op zijn mist mogelijk de boel op rottigheid te controleren.
Mja, ik ga niet mee met je "het is niet FOSS dus onbetrouwbaar!" argument; en heb ook weinig zin om die discussie weer te voeren. Nothing personal, maar heb dat nu al zo vaak voorbij horen komen... :)

Ik weet niet, maar onder Windows (voor MSE tenminste) kon je eigenlijk niet zonder virusscanner. Extra maatregelen waren hard nodig, en ja helaas had die software soms bugs waardoor ze juist problemen veroorzaakten. Risico, maar over t algemeen leverde de software van gevestigde partijen meer voordelen op dan nadelen. :) In dit geval bij BB ook, en de kracht zit hem in de simpliciteit. Het is geen super uitgebreide software ofzo zoals mccafee for Windows :P Het enige dat het doet is kijken of een app/script iets probeert te installeren op het systeem; en vraagt jou dan of je daar wel toestemming voor hebt gegeven. Niets meer, niets minder; het lijkt me stug dat dit een lek zou kunnen introduceren, de software moet immers alsnog eerst voorbij de standaard beveiliging van MacOS komen... Komt het daar doorheen, dan heb je nu een extra line of defense die je zonder deze software niet zou hebben, maar primair moet Gatekeeper en co je toch echt eerst beschermen, en dŠn pas komt BlockBlock in t spel als second line of defense.

Per saldo: als het een kwaadaardige app is, dan was die zonder BB er door gekomen, maar met niet tenzij je alsnog dom op "Approve" klikt. Maar er is geen optie om via BB Gatekeeper te omzeilen, want die scant alsnog eerst alles dat je installeert; en daar kan je niet omheen zonder gk uit te zetten... Onder de streep kan je dan dus enkel voordelen halen, en is het niet te vergelijken met een virusscanner op Windows die je first line of erger nog "the only line" of defense is... :) Die vlieger gaat dus niet op, waardoor deze tooltjes eigenlijk vrijwel uitsluitend voordelen kunnen opleveren qua veiligheid; misschien is de enige uitzondering als de kext lek zou zijn waardoor code in de kernel geinjecteerd kan worden: maar dan is de grap dat je daar eerst toestemming voor moet geven in BlockBlock omdat je een KM probeert te wijzigen, en daar is toestemming voor nodig. :') Misschien mooi om te weten is dat tot zover er geen problemen in gevonden zijn en heel veel security fanaten er vol lof over zijn en t standaard installeren.

[Reactie gewijzigd door WhatsappHack op 16 april 2017 03:52]

Alle code die in kext context actief is - onderhavig product zou denkelijk de benodigde functionaliteit ook in user space kunnen realiseren met de inotify en event API's - draait met bijzondere privileges. Dat is een goede reden niet zonder meer deze code van een toch onbekende met omzichtigheid te benaderen.
Van mij hoef je dat niet, maar verstandig ?
Daar gaat het argument van vele Apple gebruikers zeker niet. Ik zou het met je eens zijn dat het een nuance legt op dat argument, maar er is een verschil tussen zeggen dat macOS niet veiliger is (wat het wel is, tůch door lager marktaandeel) en zeggen dat macOS net zo veilig is als Windows.

Weinig gevonden geavanceerde macOS-malware door ontbrekend antivirusproducten ≠ Er zijn veel virussen, we weten het alleen niet. Is ligt een causaliteitsverband tussen het niet weten of er virussen zijn en de weinig antivirusproducten, maar geen correlatieverband tussen het niet weten of er veel virussen zijn en het zeggen dat er dus wel veel virussen zijn.

Je impliceert iets dat op z'n minst misleidend en op z'n hoogst onwaar is.

Typo: edit.

[Reactie gewijzigd door Coffee op 14 april 2017 18:59]

OK, ik hap ;)
dat er weinig geavanceerde macOS-malware gevonden wordt doordat de nodige antivirusproducten ontbreken."

Daar gaat het argument van vele Apple gebruikers, dat de macOS 'veiliger' zou zijn dan die van Windows. Als er geen evenwaardige controle is op beide systemen, dan vervalt dat argument.
Je begrijpt zelf ook wel dat een OS niet onveiliger wordt, puur en alleen omdat er minder controle is.

Eerder is het andersom: Hoe minder er te controleren valt, hoe minder eer er aan te halen valt, hoe minder controle er is.

Al sinds de introductie van OS X public beta in 2000 komen mensen steeds maar weer op de proppen met het 'argument' dat er geen / nauwelijks virussen zijn voor Mac omdat het zo'n 'kleine groep gebruikers is'. En dat daar wel verandering in zal komen, zodra OS X maar populair genoeg wordt. In feite is deze uitspraak een variant daarop:
MacOS is in feite een groot ongebruikt gebied voor hackers, waar nog veel te halen valt. Ik voorzie bijvoorbeeld dat populaire ransomware-varianten op den duur ook voor macs zullen uitkomen en dat meer oorspronkelijke Windows-malware wordt overgezet.
Intussen zijn we 17 jaar en Ī 60 miljoen Mac-gebruikers verder en nog steeds vinden sommigen dat zogenaamd geen interessante groep om malware voor te schrijven..

Als het nu nog geen interessante groep is, wordt het nooit meer een interessante groep voor hackers. Wat dan weer een pluspunt is ;)
Ohja?
Wardle merkt op dat Apple zich meer kan veroorloven dan Microsoft op het gebied van beveiliging van zijn besturingssysteem. "Apple kan meer ‘draconische’ beveiligingsmaatregelen nemen, omdat het in de positie is om tegen ontwikkelaars te zeggen dat zij hun producten moeten aanpassen of anders maar een ander platform moeten zoeken. In het geval van Microsoft is dat niet zo simpel."
En daar hebben we dus weer een extra argument waarom macOS veiliger is dan Windows ;)
Het feit dat ze zwaardere maatregelen kunnen nemen door striktere development regels op hun platform te installeren gaat niet noodzakelijkerwijs hand in hand met een veiliger systeem...

Jailbreaks voor iPhones hebben ze ook steeds een gat in de software voor nodig, blijven ze toch steeds vinden ondanks alle effort dit onklaar te maken.
Ik zou er persoonlijk absoluut niet van uit gaan dat je in Mac land veiliger bent dan in Windows land.

[Reactie gewijzigd door Ton Deuse op 14 april 2017 18:27]

"Ik zou er persoonlijk absoluut niet van uit gaan dat je in Mac land veiliger bent dan in Windows land."

Alles bij elkaar opgeteld is het een feit dat je veiliger bent op *nix (dus ook MacOS), maar het probleem dat iedereen over t hoofd ziet is dat je nergens werkelijk 100% veilig bent. Op MacOS is het grootste probleem dat mensen er achteloos mee omgaan, dat vormt een risico als er wel een keer grote gaten inzitten. Apple voorziet dat en past dan wel maatregelen toe (gatekeeper, sip, etc), maar dat mensen oprecht denken dat er NIETS kan gebeuren is gewoon achterlijk en een gevaarlijke gedachtengang...

En geen virusscanner op je Mac hebben draagt ook niet bij aan algemene veiligheid op het internet. Door zelf een scannertje te hebben kan je wellicht voorkomen dat jij per ongeluk een Windows virus (door)stuurt naar een van je (zakelijke) contacten. Dat moet je niet hebben. Draag dus je steentje bij, en installeer gewoon zo'n scannertje; op zn minst voor je email. Stelt geen reet voor en levert geen performance impact.
Wat ik me in jouw betoog wel een beetje afvraag, is in hoeverre men op mac os achteloos om gaat met het systeem en hoe zich dit zou verhouden tot mensen doe achteloos omgaan met hun apparaat dat bijvoorbeeld draait op Windows of Android.
Ik denk namelijk dat dit achteloos omgaan met een systeem niet aan het systeem ligt maar meer aan de persoon die het gebruikt. En het gebrek aan kennis dat hij of zij heeft.
Oh zeer zeker, achteloos omgaan en onwetendheid viert overal hoogtij.
Toch hoor je niemand claimen "ik hoef geen virusscanner" als t om Windows gaat, maar hoor je helaas nog altijd mensen die denken dat MacOS geen virussen kan krijgen en dat t zo veilig is dat ze ze nooit zorgen maken.

Dat maakt het in principe op dat gebied gevoeliger voor PEBCAK problemen. ;)
Heb toch wel een beetje moeite met het gemak waarmee je aannames maakt.
Nogmaals ik denk dat het niet systeemgebonden, maar persoonsgebonden is.

Op Windows hoeft men ook geen virus scanner meer aan te schaffen, deze zit immers ingebouwd. Ditzelfde gaat op voor mac os.
Een simpele aanname van mij zou dan kunnen zijn dat je op mac os veiliger zit, al is het maar omdat er veel minder kwaadwillende software voor wordt gemaakt en derhalve de kans kleiner is dat je getroffen wordt door een aanval.
En toch is dat een aanname die je helemaal niet zomaar kan maken. Dat marktaandeel gebeuren is al vaak zat debunked.

Overigens kopen veel mensen nog gewoon virus scanners ondanks security essentials.
Het zal best persoonsgebonden zijn, maar als door een hardnekkige mythe leken zich sneller veilig wanen is het enkel logisch dat die er minder naar omkijken. Waarom zou je immers, als je denkt dat je niet of nauwelijks te infecteren valt.
Je moet bij macOS ook wel weten wat je doet voor je een onbekend stuk software kunt installeren. Mijn schoonvader lukt het niet hoor, met al zijn onkunde zou ik zeggen dat hij veilig is.
Het feit dat ze zwaardere maatregelen kunnen nemen door striktere development regels op hun platform te installeren gaat niet noodzakelijkerwijs hand in hand met een veiliger systeem...
Hier heb je helemaal gelijk in. Het verschil ligt hem in dat Apple niet alleen de zwaardere maatregelen kan nemen, maar dit ook nog eens ťcht doet. En juist daarom is het toch veiliger.

Al probeert Microsoft dit ook steeds meer met de WUA.
Het probleem is dat het aantal maateregelen dat je neemt maar in ter dele iets zegt over de veiligheid van je OS.
Exploits aan de achterkant hebben schijt aan de beveiliging aan de voorkant.
De beveiliging zit ook aan de achterkant...
Ik bedoelde dat natuurlijk figuurlijk.
Que? Dan gooien we er toch gewoon deze selectieve quote tegenaan?! ;)
Wardle denkt echter niet dat Apple een verantwoordelijkheid heeft om voor aanvullende bescherming op zijn systeem te zorgen boven op zijn huidige bescherming: "Hoe het huidige systeem met Gatekeeper en Xprotect in elkaar steekt is eigenlijk vrij solide."
Een quote van een mening. Geen objectief feit? Hij kan het wel veilig vinden maar als er toch iemand een exploit in vind ben je evengoed de lul. Ik lees daar geen onomstotelijk bewijs van het tegendeel in.

[Reactie gewijzigd door Ton Deuse op 14 april 2017 18:31]

Ik reageerde dan ook op iemand die uit een mening een selectieve quote haalde en als feit neerzet. Ik laat gewoon even zien dat ik uit diezelfde mening ook selectief kan quoten om het tegendeel te bewijzen. ;)
Maar zo heel uber selectief vind ik die opmerking niet. Het is inderdaad een veelgehoord argument voor iets anders dan Windows, de "afwezigheid" van virussen (of gewoon afwezigheid van adequate detectie) in Linux en Mac land.

Ik ben zelf een Linux gebruiker, en ik zie toch geregeld security fixes de revu passeren en dus zijn dat ook geregeld zaken die gewoon geŽxploiteerd zouden kunnen worden door een malware.
Momenteel bied het feit dat ik geen boeiend doelwit ben als onderdeel van die krappe drie procent die zowel niet met Windows als Mac werkt een zekere mate van bescherming maar op het moment dat deze balans veranderd weet ik niet of die OSsen wel zo superieur gaan blijken.

[Reactie gewijzigd door Ton Deuse op 14 april 2017 18:42]

Ik vind het heel selectief als het uit een artikel komt waar dezelfde persoon zegt dat Apple zijn zaakjes beter op orde heeft dan Microsoft.

Gewoon al het gebrek aan ransomware op macOS laat duidelijk zien dat een Mac veiliger is. Vroeger kon je nog zeggen dat het moeilijk was om een Mac te infecteren omdat het infecteren niet zo gemakkelijk is als het marktaandeel klein is. Destijds stuurde zo'n virus een virus naar alle adressen in het adresboek en zo ging het natuurlijk snel om een heel pak Windows PC's te infecteren omdat het gros toch Windows gebruikers waren. Maar Mac gebruikers zijn tegenwoordig heel gemakkelijk te identificeren. Gewoon een lijst kopen van een gehackte website en alle iCloud adressen filteren en ze een mailtje sturen met een malware bestand en klaar is kees. Mac gebruikers hebben over het algemeen meer geld dus perfect voor dat soort scams.

Net zoals zovele Anti Virus makers destijds riepen 'in de toekomst ..." doet hij dit dus ook. Waarom zijn er zo weinig Anti Virus makers over voor Mac denk je? Omdat ze hun claims niet konden waarmaken en hun software overbodig bleek. En daar schuilt natuurlijk wel een gevaar in en dat is vooral wat ik meeneem uit zijn mening. Als er binnenkort echt niemand zich nog bezig houdt met Anti Virus voor Mac zal er inderdaad niemand het nog opmerken.

Ik verbaasde me er over dat ik al een paar jaar geen artikel meer op Tweakers zag verschijnen waar een McAffee of consoorten met de grote claim dat volgend jaar het jaar van de virussen op Mac zou zijn. Maar nu is het me duidelijk waarom ze zijn gewoon gestopt met het ontwikkelen voor Mac omdat ze het beu waren zich steeds belachelijk te maken met voorspellingen die maar niet uitkwamen, gelukkig heeft Tweakers toch nog iemand kunnen vinden want zo'n artikel levert altijd een groot welles nietes discussie op :)
Veiligheid is schijnveiligheid. Je bent er zelf bij. Als je met gezond verstand een systeem gebruikt zul je met beiden systemen niet zo gauw malware binnenhalen. Maar nog steeds geldt dan, macOS is minder populair en zul je daardoor minder snel het slachtoffer zijn.
Microsoft heeft zijn zaakjes al jaren redelijk op orde. Zowel linux als MacOs zullen net zo goed kwetsbaarheden bevatten. Windows heeft vooral een slechte naam vanuit het verleden. Windos XP (zonder SP2) was echt een drama. Als je het installeerde vanaf CD en je PC zat aan het boze internet, dan stond je systeem vol met virussen nog voordat je updates kon draaien. Windows had terecht een slechte naam in het verleden, dat is tegenwoordig niet terecht.
Daar gaat het argument van vele Apple gebruikers, dat de macOS 'veiliger' zou zijn dan die van Windows. Als er geen evenwaardige controle is op beide systemen, dan vervalt dat argument.
"Wij van WC Eend adviseren WC Eend!"

Patrick Wardle van beveiligingsbedrijf Synack preekt voor eigen parochie. Antivirus software is niet meer zo nodig als 10 jaar geleden, ook niet onder Windows, dus moeten ze toch iets doen om hun onmisbaarheid aan te tonen.
Zelfs al zou het volledig lek zijn maar er zou geen malware voor worden uitgebracht, dan is het nog steeds een voor de gebruiker veiligere oplossing.
Het is maar net hoe je de woorden veiliger interpreteert. Die MacOS gebruikers hebben toch nog steeds gelijk gehad, gezien er weinig van de kwetsbaarheden gebruik wordt gemaakt.
Echter sommigen willen "veilig" anders uitleggen.
Wardle denkt echter niet dat Apple een verantwoordelijkheid heeft om voor aanvullende bescherming op zijn systeem te zorgen boven op zijn huidige bescherming: "Hoe het huidige systeem met Gatekeeper en Xprotect in elkaar steekt is eigenlijk vrij solide."
Draai gewoon Norton op mijn imac 🖥
Maar er zijn wel anti-virus producten, ClamXAV doet al decennia's zijn werk bovendien is het gewoon een feit dat het UNIX architectuur een stuk beter doordacht is dan die van windows.
En als Microsoft probeert veilig te zijn zoals met UWP apps dan is Microsoft het grote kwaad. Wel een goed punt dus dat Apple meer kan maken door het marktaandeel.
Hier even een lijstje van de door Apple geleverde antivirus/veiligheidsoplossingen.

GateKeeper - Controleert en blokkeert applicaties van uitgevers zonder geldig certificaat. Apple is de enige uitgever van dat certificaat (kan natuurlijk op een per-app basis worden uitgeschakkeld).
Sandboxing - Voorkomt dat applicaties zich kunnen mengen systeem componenten, je data ůf andere apps.
ASLR - Hardware antivirus beveiliging door randomiseren van RAM adressen. Kan zijn dat Intel dat ook ondersteund op windows, weet ik niet tbh.
Execute Disable - Een techniek voor het differentiŽren van geheugen en uitvoerbaar geheugen. Zit ingebouwd in de processor.
XProtect - Ingebouwde 'simpele' antivirus (geen heuristics / gedragsanalyse, maar simple match-based).
Ingebouwde antiphising (in Safari).
System Integrity Protection (ook wel bekend als Rootless). Voorkomt aanpassingen aan /system, /bin, /sbin, /usr (behalve /usr/local) behalve als het een door apple gecertificeerde update betreft. Hier is eind maart 2016 een zero-day op gevonden. Deze is uiteraard spoedig gepatched.
POSIX - Lees, schrijf en uitvoer rechten. Ook een belangrijk onderdeel van de beveiliging.

[Reactie gewijzigd door Coffee op 14 april 2017 19:44]

Ben ik de enige die twijfelt bij een ex-NSA medewerker die beveiligingssoftware schrijft? Enerzijds: hij kent de kwetsbaarheden vast heel goed. Anderzijds: ex-medewerkers van veiligheidsdiensten zijn niet altijd zo "ex" als ze lijken.
Zijn software werkt naar behoren en wordt door menig veiligheidsexpert aangeraden om als extra tools te installeren; dus t zal wel meevallen met die onbetrouwbaarheid.
Totdat ze de backdoors vinden.
De backdoors voor de NSA dat toch wel in veel software aanwezig blijkt te zijn.
Als je dat argument wil gebruiken om alle software in t algemeen te wantrouwen: prima, en vergeet dan vooral ook niet dat de NSA niet de enige is die graag je apparaat infiltreert; altijd op je hoede zijn. Maar dat is geen reden om deze software specifiek dan minder te vertrouwen... Al helemaal niet omdat t tot dusver precies doet wat t moet doen en niemand ook maar de suggestie van een backdoor erin heeft aangetroffen.

Overigens valt t allemaal wel mee qua NSA sponsored backdoors, maar dat terzijde.

[Reactie gewijzigd door WhatsappHack op 14 april 2017 19:23]

Overigens valt t allemaal wel mee qua NSA sponsored backdoors, maar dat terzijde.
Waar kunnen we dat lezen ? Waar wordt dat bewezen en door wie ?
Het feit dat er relatief weinig gevonden worden in tegenstelling tot normale bugs. Common sense :) Het is ook nauwelijks nodig voor de NSA omdat die zelf wel onbedoelde kwetsbaarheden vinden in software.
Software ontwikkeld door een NSA medewerker, en dan met het backdoor verhaal wat uit de doeken is gedaan vind ik het niet zo gek dat ik dergelijke software wantrouw.

En dat is geen argument, er zijn genoeg backdoors bekend gemaakt die niet waren gevonden.
Waarom zou je die software 'meer' wantrouwen dan de software van een bedrijf dat geld aan je wil verdienen?
Oh dat deed ik niet hoor.
Een ex-NSA medewerker... Vertrouw je ook niets dat Snowden aanraadt? Of is dat opeens anders? :)

Ja er zijn genoeg backdoors en kwetsbaarheden in allerlei software, maar ik vind t bizar kort door de bocht om de software, met een uitstekende reputatie overigens, van deze man niet te vertrouwen want "hij heeft voor de NSA gewerkt dus zal t wel tjokvol backdoors zitten", kom op zeg...

Ken je zijn werk uberhaupt en wat zijn tooltjes doen? :/

[Reactie gewijzigd door WhatsappHack op 14 april 2017 22:36]

Met het eerste heb je een goed punt! :P
Misschien moet ik mijn mening iets bijstellen.

Ik ben gewoon een beetje argwanend geworden wat dat betreft, soms niet geheel terecht blijkbaar.
Er is helemaal niets mis met argwaan en op je hoede zijn, een milde vorm van paranoia is zelfs heel gezond als je veilig wil blijven op t net! Je moet alleen oppassen dat t niet te hard doorslaat naar onredelijke paranoia. :P Ik snap wel dat de balans soms lastig te zoeken is. :)
Kan ik niets tegenin brengen! Weer een klein beetje wijzer geworden :Y)
Kun je niet beoordelen
Ag naar mijn idee heeft ieder platform wel een verzameling aan virussen. Hier op mijn Linux server thuis ook welleens Linux malware binnen gehaald die mijn volledige systeem 100 procent bleef belasten. Er word van Linux ook uitgegaan dat het veilig is maar naar mijn idee blijft t in 80 procent van de getroffen gevallen toch de gebruiker die hier de zwakke schakel is.

Apple heeft dat op macos best goed opgelost. Niet alle software heeft toegang tot bepaalde gedeeltes van het besturingssysteem en het is allemaal redelijk dichtgetimmerd. Macos waarschuwt jr ook altijd en soms meerdere keren wanneer je iets installeert. En als gebruiker mag je dan beslissen of je t wilt installeren of niet.

En als t OS je al waarschuwd en bijv je Adblocker al waarschuwt dat het een onveilige website is en je als gebruiker toch de website bezoekt en het bestand download en je hebt een virus te pakken dat het gewoon aan jezelf ligt.

Is met mijn moeder op haar Windows laptop hetzelfde. Blijft altijd overal op klikken zegtboveral ja en voor ze t weet heel haar pc vol met adware en ransomware dat advertenties in Windows toont. Ik heb haar toen overgezet naar MacBook en nog geen maand later was t weer raak. Het perfecte voorbeeld van een gemiddelde gebruiker die eigenwijs is en altijd overal maar op klikt
Gewoon een vraag. Hoe kon de maleware zich nestelen op je Linux server? Bij alles wat zich op mijn Linux machine wil installeren, moet geÔnstalleerd worden als super user en ww. Daarom ik zo nieuwsgierig.
Een geÔnfecteerd pakket kan daar de oorzaak van zijn. Die installeer je meestal met sudo rechten dus ben je vatbaar.
sudo rechten zecht aanzicht helemaal niets.
Wat je misschien bedoel is root rechten? Ik heb vaak genoeg sudo gebruiker waarbij helemaal het 'root' iedee niet om de hoek kwam kijken.
Ja ja, ik begrijp dat 'sudo' vaak gelijk staat als root, maar dat komt omdat er O zoveel linux gebruikers verkeerd sudo gebruikt.

Dat gezecht te hebben, als het echt een 'pakket' was geweest, had dit beter geÔnstalleerd kunnen worden onder een bepaald type gebruiker.
Hoe krijg je een geinfecteerd pakket? Die komen met digitale handtekening via een TLS verbinding binnen, dus tenzij iedereen die jouw distro gebruikt ook geinfecteerd is lijkt me dat niet een gangbare vector.
Op Ubuntu kan je o.a. losse pakketten installeren. Niet alles is beschikbaar via de mooie repo's.
Dat kan op elk systeem en losse pakketten zijn ook gewoon digitaal ondertekend. De enige reden dat je echt op zoek gaat naar shady downloads en losse pakketen is als je gekraakte software zoekt.
Ik kan je met 99% zekerheid vertellen dat ik nog nooit een gekraakt pakket op mijn Linux machines heb gezet. Echter wel normale pakketten van kleine ontwikkelaars die niet digitaal ondertekend zijn. Daarnaast is er software die wordt aangeboden via een tar.gz archief. Deze zijn niet ondertekend die pak je uit en voer je de .sh uit. Dit zijn ook software pakketten waar gewoon mee gerommeld kan worden.
Zoals ik al schreef. 80 procent van de getroffen gevallen de gebruiker de zwakke schakel is.

Ik had een bestandje tussen m'n backups gevonden en ik klikte erop en 3 seconden later was het raak. Het maakte gebruik van een lek in een plug-in in Linux zelf en was t afgelopen.

Ik zeg dit tegen anderen ook zo vaak. Let gewoon op waar en wat je iets doet.
Ik snap het even niet, voor macOS zijn er echt wel actieve virusscanners hoor. Die worden ook actief geŁpdate. Kent deze ' onderzoeker ' die dan niet ?
Ja en hoeveel mensen installeren die? :P Bijna niemand installeert het, dan kan je ook geen statistieken verzamelen en worden er ook nauwelijks verdachte "potentieel virus" bestanden gesubmit. Dat was volgens mij ook zijn punt.

[Reactie gewijzigd door WhatsappHack op 14 april 2017 18:35]

Ik bv.. vanuit xs4all gratis, ook voor de mac (f-secure licentie).
Daarvoor draaide ik een andere.. liever beetje extra beschermd dan het (meer) risico lopen
De vraag was ook niet wie wel en heb ook niet gezegd dat niemand t doet, maar het punt is dat er maar weinig zijn die het doen :)
Eens..maar de mogelijkheden zijn er, alleen wordt er te weinig gebruik van gemaakt
Ook ik draai die. De enige virussen en trojans die hij tot nu toe heeft gevangen richten zich op Windows. Maar, ik heb wel al een paar OSX computers van anderen moeten fixen die wel besmet waren met meuk. Maar zij hadden zonder uitzondering twijfelachtige software gedownload en geÔnstalleerd.
Ik heb persoonlijk wel het gevoel dat er een groeiend aantal rootkits en spyware infecties is op macOS. Ik zie veel mensen er ineens tegen aan lopen. Op Windows valt nauwelijks nog wat te winnen, Mac gebruikers zijn vaak naÔever en draaien geen anti-virus software omdat het traditioneel nauwelijks last had van dit soort problemen.
Ik heb persoonlijk wel het gevoel dat er een groeiend aantal rootkits en spyware infecties is op macOS.
Waaraan voel je dat? Heb je een Mac?
Zolang velen nog illegaal software binnenhalen, blijven ze kwetsbaar en daar gaat een virusscanner je echt niet voor behoeden. Het blijft een gebruikers probleem en dat is het altijd al geweest.
"Hoe het huidige systeem met Gatekeeper en Xprotect in elkaar steekt is eigenlijk vrij solide."
Maar dat is het dan toch.

Er zullen vast zero days en andere lekken in het systeem zitten, maar als ze niet exploited worden, dan is het toch voldoende. Er zijn genoeg figuren die ook macs met ransomware willen aanvallen, maar het gebeurd niet. Die paar adware virussen, boeiend, ik merk er niets van.
Die paar adware virussen, boeiend, ik merk er niets van.
Jup, system-wide adblockertje eroverheen en je hebt er geen last van!
Wardle is niet bepaald onbezoldigd bezig wat dit betreft. Ja, hij heeft een site met tooltjes voor kwetsbaarheden die hij en anderen binnen de bug bounty business hebben gevonden maar tevens is hij werkzaam bij Synack, wat toch echt goed geld verdient aan het verhelpen van bugs en kwetsbaarheden waar zij veel voor bieden.

Beetje leesvoer: http://www.theverge.com/2...g-bounty-hackerone-synack

[Reactie gewijzigd door repeP op 14 april 2017 18:32]

Wat is daar mis mee dan? De hackers cq beveiligingsonderzoekers worden betaald voor hun werk bij t zoeken naar exploits, en zij verdienen er weer knaken mee door dit weer door te verpatsen naar de geaffecteerde bedrijven en die bedrijven kunnen hun bug bounty programma's outsourcen naar bedrijven als Synack zodat ze er zelf geen zorgen meer over hebben en geen experts in eigen dienst hoeven te nemen...

Wat is daar zo raar/gek/discutabel of onethisch aan? Prima business model toch? :)

[Reactie gewijzigd door WhatsappHack op 14 april 2017 18:49]

Betreffende bedrijven kopen bugs om daar vervolgens grof aan te verdienen.

Prima business model?
Ja. Heb je t artikel gelezen?
Ze betalen hackers voor hun werk, en zij controleren dat en gaan verder kijken en rapporteren vervolgens aan de maker van de software de bugs en krijgen dan een bounty uitgekeerd. Daar draaien ze uiteraard winst over.

Ik zie echt helemaal niets in dat verhaal dat shady is, het is eerder een prima ontwikkeling wat mij betreft... Hoe gegarandeerder de pay-out, hoe minder snel hackers het op de zwarte markt gooien. Mooi toch? :)
Iedereen wint. Hackers krijgen makkelijker en sneller geld, bedrijf draait winst en de auteur van de software krijgt professionele rapporten om het te fixen; en keren daarvoor sowieso een bounty uit. Aan wie ze dat uitkeren, de hacker zelf of de tussenpersoon, is om t even.

Die hackers kunnen ook rechtstreeks aanspraak maken op een bug bounty bij de maker, maar kennelijk kleven er voordelen aan t rapporteren aan een tussenpersoon. Die bugreports komen hoe dan ook bij de maker van de software terecht via responsible disclosure policies, dus wat is precies het probleem? Het is heel normaal om dingen op te kopen, bij te poetsen en weer door te verkopen; waarom zou dat met softwarebugs dan opeens een probleem zijn? :)

Je zou een punt hebben als zij die bugs opkopen en vervolgens verkopen op de zwarte markt. Dat zou heel slecht zijn, maar het tegenovergestelde is dus juist het geval.

[Reactie gewijzigd door WhatsappHack op 14 april 2017 22:44]

Aan wie de gevonden kwetsbaarheden uiteindelijk worden verkocht doet er wel toe. Niet alleen in morele zin. Zonder "(responsible) disclosure" kunnen de klanten, geheime diensten maar ook criminelen, de verworven kwetsbaarheden exploiteren. De geheime diensten als het goed is nog legitiem binnen een wettelijk kader (alhoewel de praktijk weerbarstig lijkt) en de criminelen, tja dat laat zich raden.
Dat snap ik, maar deze bedrijven "verkopen" de kwetsbaarheden via RD-policies aan de bedrijven; en dus niet op de zwarte markt. :)
Zoals ik al zei: zouden ze dat wel op de zwarte markt verkopen dan is dat een heel kwalijke zaak. Nu maken ze gewoon winst door de bugs van anderen te verpatsen tegen de RD-vergoeding die t bedrijf van de software aanbiedt. Niets mis mee. :)

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*